ISO27001标准是国际标准化组织(InternationalOrganizationforStandardization,ISO)制定的关于信息安全管理的一套标准。它于2002年7月发布,并于2003年1月起开始实施。该标准规定了信息技术管理体系的要求、评价方法、使用指南以及建立和评审程序等,为IT服务提供者提供了一个框架来保证其信息安全管理的有效性。
ISO27001标准的制定是为了解决在信息处理过程中所出现的数据丢失或破坏问题,使企业能够在不影响业务的前提下保护敏感信息资产的安全性;同时也是为了帮助企业提高对自身信息系统进行安全控制的能力。
ISO27001认证介绍ISO/IEC27001:该标准由三部分组成:第一部分是要求(Requirement),第二部分为应用指引和建议(ApplicationGuidanceandProposal),第三部分为附录(Appendix).
第一部分要求包括:
1.总则
2.术语
3.范围
4.规范性引用文件
5.风险管理
6.内部审核
7.管理评审
8.监视
9.绩效测量
10.变更
11.跟踪
12.记录
13.沟通
14.培训
15.能力
16.标识
第二部分的应用指引和建议主要涉及以下内容:
1.应用环境
2.开发过程
3.采购过程
4.设计开发
5.配置管理
6.测试
7.维护
8.运行和维护
9.支持
10.质量
11.知识产权
12.法律事务
第三部分附录中包含了一些与本标准的实施有关的内容。
